Шлюз служби імен Ethereum eth.limo виявив, що викрадення домену в п’ятницю було спричинено атакою соціальної інженерії, спрямованою проти EasyDNS, його постачальника послуг доменних імен.
Відповідно до посмертного висновку, опублікованого eth.limo в суботу, зловмисник видав себе за одного з членів його команди, щоб ініціювати процес відновлення облікового запису за допомогою easyDNS, надаючи доступ до облікового запису eth.limo та дозволяючи їм змінювати налаштування домену.
“Записи NS були змінені та направлені до Cloudflare… Як тільки ми зрозуміли, що відбулося викрадення DNS, ми негайно повідомили спільноту, а також Віталіка Бутеріна та інших. Потім ми почали зв’язуватися з EasyDNS, намагаючись відреагувати на інцидент”, – заявили в компанії.
Eth.limo служить мостом Web2, надаючи доступ до приблизно 2 мільйонів децентралізованих веб-сайтів, які використовують доменне ім’я .eth. Викрадення служби може дозволити зловмиснику перенаправляти користувачів на шкідливі веб-сайти. Співзасновник Ethereum Віталік Бутерін у п’ятницю попередив користувачів уникати його блогу, доки інцидент не буде вирішено.
Марк Джефтович, генеральний директор easyDNS, публічно взяв на себе відповідальність за інцидент у власному звіті про розслідування.
«Ми облажалися, і це нам належить», — сказав Єфтович у суботу.
“Це стане першою успішною атакою соціальної інженерії на клієнт easyDNS за нашу 28-річну історію. Було незліченну кількість спроб”.
Обидві компанії вказали на розширення безпеки системи доменних імен (DNSSEC), щоб запобігти спробам хакера завдати подальшої шкоди.
Зловмисник не зміг створити дійсні криптографічні підписи, тому резолвери системи доменних імен відхиляли підроблені DNS-відповіді зловмисника, через що користувачі бачили повідомлення про помилки замість того, щоб їх перенаправляли на шкідливі сайти.
«DNSSEC було ввімкнено для їхнього домену, коли зловмисники намагалися перевернути їхні сервери імен, імовірно, щоб здійснити якийсь спосіб фішингу або атаки з ін’єкцією зловмисного програмного забезпечення, резолвери з підтримкою DNSSEC, якими зараз є більшість, почали відкидати запити», — сказав Єфтовіч.
У своєму постмортемі eth.limo зазначив, що через те, що зловмисник не мав ключів підпису, він не зміг обійти захисні засоби, що, ймовірно, “зменшило радіус вибуху викрадення. На даний момент ми не знаємо про будь-який вплив на користувачів. Ми надамо оновлення, якщо це зміниться”.
easyDNS вносить зміни після атаки
Джефтович описав атаку соціальної інженерії як «дуже витончену», і сказав, що easyDNS все ще проводить аналітичну перевірку того, як стався злом, і вже почав вносити зміни, щоб запобігти повторенню.
«У випадку eth.limo ми перенесемо їх на Domainsure, який має систему безпеки, більш придатну для корпоративних і високоцінних фінтех-доменів, TLDR, немає механізму відновлення облікового запису на Domainsure, це не річ», — додав він.
“Від імені всіх присутніх я прошу вибачення перед командою eth.limo та ширшою спільнотою Ethereum. ENS завжди займав особливе місце в нашому серці як перший реєстратор, який увімкнув посилання ENS на домени web2, і ми беремо участь у цьому просторі з 2017 року”.
Інцидент з eth.limo є останнім із серії викрадень доменів, націлених на криптовалютні проекти. Днями раніше децентралізований біржовий агрегатор CoW Swap втратив контроль над своїм веб-сайтом після того, як невідома сторона захопила його домен.
Steakhouse Financial, консалтингова та дослідницька фірма DeFi, наприкінці березня також оголосила, що втратила контроль над своїм доменом зловмиснику.
